کشف بهره‌برداری فعال از آسیب‌پذیری‌های افزونه وردپرس توسط محققان

محققان امنیت سایبری هشدار داده‌اند که چندین آسیب‌پذیری امنیتی با شدت بالا در افزونه‌های وردپرس به طور فعال توسط عوامل تهدید برای ایجاد حساب‌های مدیر سرکش برای بهره‌برداری‌های بعدی مورد بهره‌برداری قرار می‌گیرند.

Simran Khalsa، Xavier Stevens و Matthew Mathur، محققین Fastly، می‌گویند[۱]: «این آسیب‌پذیری‌ها در افزونه‌های مختلف وردپرس یافت می‌شوند و به دلیل پاک‌سازی ناکافی ورودی و خروج خروجی، مستعد حملات اسکریپت‌های متقابل ذخیره‌شده تأیید نشده (XSS) هستند و این امکان را برای مهاجمان فراهم می‌کند که اسکریپت‌های مخرب را تزریق کنند.»

نقص‌های امنیتی موردبحث در زیر لیست شده است:

• CVE-2023-6961 (امتیاز ۲/۷ در مقیاس CVSS) – اسکریپت نویسی Cross-Site ذخیره شده تایید نشده در WP Meta SEO نسخه ۱۲/۵/۴
• CVE-2023-40000 (امتیاز ۳/۸ در مقیاس CVSS) – اسکریپت نویسی Cross-Site ذخیره شده احراز هویت نشده در LiteSpeed Cache نسخه ۷/۵
• CVE-2024-2194 (امتیاز ۲/۷ در مقیاس CVSS) – اسکریپت نویسی Cross-Site ذخیره شده تأیید نشده در WP Statistics نسخه ۵/۱۴

زنجیره‌های حمله‌ای که از این نقص‌ها بهره‌برداری می‌کنند شامل تزریق یک payload است که به یک فایل جاوا اسکریپت مبهم میزبانی شده در یک دامنه خارجی اشاره می‌کند که مسئول ایجاد یک حساب مدیریت جدید، درج درب پشتی و تنظیم اسکریپت‌های ردیابی است.

درهای پشتی PHP به فایل‌های پلاگین و theme تزریق می‌شوند، درحالی‌که اسکریپت ردیابی برای ارسال یک درخواست HTTP GET حاوی اطلاعات میزبان HTTP به یک سرور راه دور (“ur.mystiqueapi[.]com/?ur”) طراحی شده است.

Fastly گفت که بخش قابل‌توجهی از تلاش‌های بهره‌برداری را از آدرس‌های IP مرتبط با IP Volume Inc. ([2]AS202425) سیستم خودمختار (AS202425) که بخشی از آن از هلند سرچشمه می‌گیرد، شناسایی کرده است.

شایان‌ذکر است که شرکت امنیتی وردپرس WPScan قبلاً حملات مشابهی را با هدف CVE-2023-40000 برای ایجاد حساب‌های مدیریت سرکش در وب‌سایت‌های حساس فاش کرده بود[۳].

برای کاهش خطرات ناشی از چنین حملاتی، توصیه می‌شود که صاحبان سایت‌های وردپرس افزونه‌های نصب شده خود را بررسی کنند، آخرین به‌روزرسانی‌ها را اعمال کنند و سایت‌ها را برای علائم بدافزار یا حضور کاربران مدیر مشکوک بررسی کنند.

منابع

[۱] https://www.fastly.com/blog/active-exploitation-unauthenticated-stored-xss-vulnerabilities-wordpress

[۲] https://ipinfo.io/AS202425

[۳] https://thehackernews.com/2024/05/hackers-exploiting-litespeed-cache-bug.html

[۴] https://thehackernews.com/2024/05/researchers-uncover-active-exploitation.html